- Plugin WPvivid Backup & Migration rentan terhadap cacat RCE kritis CVE-2026-1357
- Eksploitasi memerlukan opsi “terima cadangan dari situs lain” yang diaktifkan, dengan jendela serangan 24 jam
- Patch dirilis pada versi 0.9.123 (28 Januari); pengguna didesak untuk segera mengupgrade
Pencadangan & Migrasi WPvivid, a plugin WordPress dengan hampir satu juta instalasi, rentan terhadap kelemahan kritis yang memungkinkan pelaku ancaman menjalankan kode berbahaya dari jarak jauh.
Meskipun kedengarannya tidak menyenangkan, bug ini memiliki beberapa keterbatasan yang membuat eksploitasi menjadi agak sulit.
Plugin WordPress yang terpengaruh memungkinkan pengguna membuat cadangan situs, memulihkannya, dan memigrasikan situs ke domain atau host baru. Fitur inti tersedia secara gratis, dengan peningkatan premium opsional untuk fungsi lebih lanjut. Saat ini memiliki lebih dari 900.000 instalasi aktif dan lebih dari 20.000 pelanggan.
Memanfaatkan dan menambal
Namun peneliti keamanan Defiant menemukan plugin tersebut mengalami penanganan kesalahan yang tidak tepat dalam proses dekripsi RSA, ditambah dengan kurangnya sanitasi jalur. Akibatnya, pelaku ancaman dapat mengunggah file sewenang-wenang ke server tanpa autentikasi, sehingga mencapai eksekusi kode jarak jauh (RCE).
Bug ini dilacak sebagai CVE-2026-1357 dan memiliki skor tingkat keparahan 9,8/10 (kritis). Ini mempengaruhi semua versi hingga 0.9.123, yang dirilis pada 28 Januari.
Meskipun semua pengguna disarankan untuk meningkatkan ke versi yang aman sesegera mungkin, mengeksploitasi kerentanan ini tidak semudah kedengarannya. Hanya situs yang mengaktifkan opsi “terima cadangan dari situs lain” yang rentan, dan fitur ini tidak diaktifkan secara default.
Terlebih lagi, penjahat hanya punya waktu 24 jam untuk menyerang, mengingat kunci yang dibutuhkan situs lain untuk mengirim file cadangan akan habis masa berlakunya setelah satu hari.
Sayangnya, tidak ada cara untuk mengetahui secara pasti berapa banyak, dari 900.000 instalasi aktif, yang rentan. Situs resmi plugin WordPress hanya menampilkan instalasi versi 0.9, tanpa segmentasi lebih lanjut. Dinyatakan bahwa sejak tanggal 28 Januari, hari patch tersebut, hingga hari ini, plugin tersebut telah diunduh sekitar 200.000 kali.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
